[Dannyboy]

Seit über einem Jahr versuchte ich vergeblich eingeschränkten Benutzern von Windows XP Prof. Rechte zu entziehen, ohne dass der Administrator davon negativ beeinflusst wird. Leider ist letzteres nämlich der Fall, wenn man in der Datei <gpedit.msc> irgendwelche Rechte einschränkt. Warum eingeschränkte Rechte standardgemäß auch für einen eigentlich uneingeschränkten Admin gelten, kann ich mir nicht erklären.

Die Idee des Entzuges der Rechte war einfach folgende:
Ich möchte Freunde von mir gern an meinen Computer lassen, ohne mir Sorgen machen zu müssen, dass diese, versehendlich oder nicht, irgend etwas an meinem Rechner verstellen oder sogar kaputt machen. Sie sollen sich lokal anmelden können, ich stelle ihnen ein paar Spiele, Filme u. Musik zur Verfügung aber Dinge wie Systemsteuerung, Anzeige, Netzwerk, etc: Finger weg!!!

Folgendes Vorgehen ist unter Windows XP Professional möglich (unter XP Home geht dies nicht!) und bezieht sich auf das Arbeitsgruppenkonzept. Ich habe es mit dem Domänenkonzept noch nicht probiert.

Also:

1. Als Mitglied der Administratorengruppe anmelden (in meinem Fall einfach als DANNYBOY)

2. Legt nun ein paar eingeschränkte Konten an, denen die Rechte später entzogen werden sollen. (Systemsteuerung > Benutzerkonten > Neues Konto erstellen, ...)

3. Irgendeinen Ordner öffnen: Extras > Ordneroptionen > Ansicht > „Einfache Dateifreigabe (empfohlen)“ deaktivieren. Hierdurch wird die Registerkarte <Sicherheit> bei <Eigenschaften> von Dateien und Verzeichnissen angezeigt.

4. Arbeitsplatz > Rechtsklick > Verwalten > Lokale Benutzer und Gruppen (diesen Punkt gibt es NICHT bei XP Home!!!) > Gruppen > Aktion > Neue Gruppe

5. Gebt der neuen Benutzergruppe nun einen Namen und fügt die eingeschränkten Konten, die ihr im Punkt <2.> erstellt habt, dieser Gruppe hinzu.

6. Start > Ausführen > „gpedit.msc“(gibt’s auch nur unter XP Prof., nicht unter XP Home)

7. Nun in den Gruppenrichtlinien: Benutzerkonfiguration > Administrative Vorlagen

8. In den administrativen Vorlagen könnt ihr nun so ziemlich alles verbieten, was mit Systemsteuerung, Desktop, Bildschirmschoner, Netzwerk, Druckern, Startmenü und Taskleiste, dem System und Ordnerfreigabe zu tun hat. Doch Vorsicht, denn alles, was ihr hier jetzt ändert, hat auch sofortigen Effekt auf das nun angemeldete Administratorkonto. Verbaut Euch jetzt nicht den Weg zu Eurem Arbeitsplatz, denn da müssen wir gleich hin.

9. Versucht mal aus Spass folgendes in den bereits gewählten administrativen Vorlagen: Systemsteuerung > Anzeige > „Symbol Anzeige aus der Systemsteuerung entfernen“ aktivieren. Und nun macht mal auf dem Desktop einen Rechtsklick. Nun solltet ihr nicht mehr in die Anzeige hineinkommen. Nachdem ihr alles so eingeschränkt habt, wie ihr es wolltet, dürftet Ihr jetzt nichts mehr tun können, was ihr gerade eben eingeschränkt habt.

10. So far, so good. Nun öffnet mal mit dem Explorer das Verzeichnis <C:\Windows\system32>. Hier findet ihr den VERSTECKTEN Ordner <GroupPolicy>. (Vorraussetzung ist natürlich ein Einblenden der versteckten Dateien und Ordner). Nun auf <GoupPolicy> rechtsklicken > Eigenschaften > Sicherheit > und nun erfolgt der entscheidende Schritt:

11. Dem aktuellen Konto (bei mir ist das DANNYBOY) den Vollzugriff verweigern, d.h. ihr entzieht dem aktuellen Benutzer alle Lese – und Schreibrechte auf diesen Ordner (und auf die darin enthaltenen ADM.-Dateien für die Verwaltung von Gruppenrichtlinien). Das Einstellungsfenster für Sicherheit NICHT schließen.

12. Das Gleiche solltet ihr ihr jetzt noch für die Gruppe <Administratoren> tun (falls diese Gruppe nicht angezeigt wird, dann müsst ihr sie <hinzufügen>, es sei denn, ihr möchtet dem versteckten Admin-Konto auch Rechte entziehen. Also: Der Gruppe <Administratoren> auch den Vollzugriff auf den Ordner <groupPolicy> verweigern.

13. Alles schließes, aktuelles Konto abmelden.

14. Was geschieht nun? – Die Gruppenrichtlinien und die damit verbundenen, eingeschränkten Rechte werden beim Öffnen eines eingeschränkten Benutzerkontos aus dem Ordner <groupPolicy> geladen und somit korrekt an diese Benutzer verteilt, d.h. deren Rechte sind eingeschränkt. Wenn man sich aber nun wieder als Admin anmeldet, so können diese eingeschränkten Rechte aus <groupPolicy> nicht für den Admin geladen haben, da wir jeglichen Zugriff auf diesen Ordner gesperrt haben. Tja, und da keine Einschränkungen für den Admin geladen werden konnten, erteilt das Betriebssystem ihm eben einen Vollzugriff (so wie sich das für den Admin gehört). Wir haben uns also durch eine Einschränkung mehr Rechte verschaffen können.

Sonstige Hinweise:
Für jeden weiteren Benutzer, der von den eingeschränkten Rechten nicht beeinflusst werden soll, müssen auch einfach die Rechte auf das Verzeichnis <GroupPolicy> entzogen werden. Wundert Euch nicht, wenn ihr nun versucht mit dem Admin die Datei „gpedit.msc“ zu öffnen und der Zugriff verweigert ist. Ihr müsst dann einfach dem Admin die Rechte auf <GroupPolicy> während der Bearbeitung des Gruppenrichtlinieneditors geben, damit der Editor die Rechte der ADM.-Dateien lesen kann. Wie es mit unterschiedlichen Rechten zwischen eingeschränkten Konten aussieht, weiss ich noch nicht. Bin aber bereits dabei, dies zu erörtern. Mir war es erst mal wichtig, dass ich eine eingeschränkte Benutzergruppe habe, der ich Rechte entziehe und einen Admin, der alles darf. Viel Spass.

Check this out.

DANNYBOY

Moin Dannyboy,

und mit welchem Account willst Du Dir die Rechte auf das Verzeichnis wieder geben?
Es existiert ja kein Account mehr, der die Rechte ändern darf.

Zitat von Christian Seehase:

und mit welchem Account willst Du Dir die Rechte auf das Verzeichnis wieder geben?

Ich nehme mal an mit .\SYSTEM (z.B. mit cmdasuser).

Zitat von Dannyboy:

Die Idee des Entzuges der Rechte war einfach folgende:
Ich möchte Freunde von mir gern an meinen Computer lassen, ohne mir Sorgen machen zu müssen, dass diese, versehendlich oder nicht, irgend etwas an meinem Rechner verstellen oder sogar kaputt machen. Sie sollen sich lokal anmelden können, ich stelle ihnen ein paar Spiele, Filme u. Musik zur Verfügung aber Dinge wie Systemsteuerung, Anzeige, Netzwerk, etc: Finger weg!!!

Warum so umständlich? Leg für die Benutzer ein Gast-Konto an. Gäste dürfen nichts. Dann gibst du die Ordner mit den Spielen, Filmen und der Musik für Gäste frei und gut ist.

Zitat von Dannyboy:

10. So far, so good. Nun öffnet mal mit dem Explorer das Verzeichnis <C:\Windows\system32>. Hier findet ihr den VERSTECKTEN Ordner <GroupPolicy>. (Vorraussetzung ist natürlich ein Einblenden der versteckten Dateien und Ordner). Nun auf <GoupPolicy> rechtsklicken > Eigenschaften > Sicherheit > und nun erfolgt der entscheidende Schritt:

11. Dem aktuellen Konto (bei mir ist das DANNYBOY) den Vollzugriff verweigern, d.h. ihr entzieht dem aktuellen Benutzer alle Lese – und Schreibrechte auf diesen Ordner (und auf die darin enthaltenen ADM.-Dateien für die Verwaltung von Gruppenrichtlinien). Das Einstellungsfenster für Sicherheit NICHT schließen.

12. Das Gleiche solltet ihr ihr jetzt noch für die Gruppe <Administratoren> tun (falls diese Gruppe nicht angezeigt wird, dann müsst ihr sie <hinzufügen>, es sei denn, ihr möchtet dem versteckten Admin-Konto auch Rechte entziehen. Also: Der Gruppe <Administratoren> auch den Vollzugriff auf den Ordner <groupPolicy> verweigern.

13. Alles schließes, aktuelles Konto abmelden.

14. Was geschieht nun? – Die Gruppenrichtlinien und die damit verbundenen, eingeschränkten Rechte werden beim Öffnen eines eingeschränkten Benutzerkontos aus dem Ordner <groupPolicy> geladen und somit korrekt an diese Benutzer verteilt, d.h. deren Rechte sind eingeschränkt. [b]Wenn man sich aber nun wieder als Admin anmeldet, so können diese eingeschränkten Rechte aus <groupPolicy> nicht für den Admin geladen haben, da wir jeglichen Zugriff auf diesen Ordner gesperrt haben. Tja, und da keine Einschränkungen für den Admin geladen werden konnten, erteilt das Betriebssystem ihm eben einen Vollzugriff (so wie sich das für

Ähm, ich glaube, wenn ich das so lese, du hast da was nicht so ganz verstanden, was die Gruppenrichtlinien angeht. Wenn die Einstellungen für deine neue Gruppe, die Einstellungen für die Administratorengruppe beeinfliussen, dann hast du definitiv was falsch gemacht. Und wenn du es richtig machst, dann brauchst du der Administratorengruppe auch nicht den Zugriff auf den Ordner mit den Policies zu verweigern, damit die Regeln für die Administratorengruppe nicht gelten. Ich kann mir nicht vorstellen, dass das der von Microsoft dokumentierte Weg ist.

Nachtrag:
Wenn ich eine neue Gruppe erstellen, so denke ich mir das, ich habe es noch nie gemacht, dann kann ich für diese Gruppe bestimmt induviduell Poicies vergeben ohne Das andere Gruppen, hier der Administratoren Alias, beeinflusst wird.

Zitat:

Wenn ich eine neue Gruppe erstellen, so denke ich mir das, ich habe es noch nie gemacht, dann kann ich für diese Gruppe bestimmt induviduell Poicies vergeben ohne Das andere Gruppen, hier der Adminsiratoren Alias, beeinflusst wird.

da denkst du richtig !

Zitat von Luckie:

Zitat von Dannyboy:

Die Idee des Entzuges der Rechte war einfach folgende:
Ich möchte Freunde von mir gern an meinen Computer lassen, ohne mir Sorgen machen zu müssen, dass diese, versehendlich oder nicht, irgend etwas an meinem Rechner verstellen oder sogar kaputt machen. Sie sollen sich lokal anmelden können, ich stelle ihnen ein paar Spiele, Filme u. Musik zur Verfügung aber Dinge wie Systemsteuerung, Anzeige, Netzwerk, etc: Finger weg!!!

Warum so umständlich? Leg für die Benutzer ein Gast-Konto an. Gäste dürfen nichts. Dann gibst du die Ordner mit den Spielen, Filmen und der Musik für Gäste frei und gut ist.

Naja Luckie ich kene einen Freund der hat einen kleinen Bruder () der hat es geschaft auf dem Gast-Konto einen "Schweren Ausnahmefehler" von Windows zu bekommen des der pc abgestürzt ist und nur noch neu installiert werden konnte! Fragt mich nicht wie er des geschaft hat aber er hat da irgendwie eine Fähigkeit die unwarscheinlichsten und schwierigster fehler zum vorschein zu bringen.
Also ich kann dazu auch nur eins sagen ein idealer Beta-Tester

Moin Denis,

Zitat von supermuckl:

Zitat:

Wenn ich eine neue Gruppe erstellen, so denke ich mir das, ich habe es noch nie gemacht, dann kann ich für diese Gruppe bestimmt induviduell Poicies vergeben ohne Das andere Gruppen, hier der Adminsiratoren Alias, beeinflusst wird.

da denkst du richtig !

Und wie, ohne in einem Netzwerk mit Active Directory?

Ich kann mir nicht vorstellen, dass es da nicht gehen soll. Es kann ja nicht sein, dass sich der Admin jedes mal selber den Ast absägt, wenn er eigene Gruppen mit eingeschränkten Rechten erstellt.

Zitat von Christian Seehase:

Moin Dannyboy,

und mit welchem Account willst Du Dir die Rechte auf das Verzeichnis wieder geben?
Es existiert ja kein Account mehr, der die Rechte ändern darf.

Moin zusammen,
also ich habe mir die Rechte einfach mit dem Konto DANNYBOY wieder geben können, da man sich, administrative Rechte vorausgesetzt, als Besitzer einrichten und sich somit einen Vollzugriff erteilen kann.

Zitat von Luckie:

Ich kann mir nicht vorstellen, dass es da nicht gehen soll. Es kann ja nicht sein, dass sich der Admin jedes mal selber den Ast absägt, wenn er eigene Gruppen mit eingeschränkten Rechten erstellt.

Wie bereits erwähnt bin ich selbst verwundert darüber, dass der Administrator von den in der <Gpedit.msc> eingestellten Einschränkungen ebenfalls betroffen ist. Am besten einfach mal ausprobieren, wie in Punkto <9.> beschrieben. Spätestens dann wirst Du einsehen, dass man sehr wohl von diesen Einschränkungen als Admin betroffen ist. Wenn Du einen anderen (leichteren) Weg findest, würde ich mich darüber freuen.

Zitat von Luckie:

Warum so umständlich? Leg für die Benutzer ein Gast-Konto an. Gäste dürfen nichts. Dann gibst du die Ordner mit den Spielen, Filmen und der Musik für Gäste frei und gut ist.

Ja, von einem solch unkompliziertem Betriebssystem kann ich leider nur träumen. Ich habe nun ein Gastkonto angelegt und dieser Gast darf so ziemlich alles, was ich meinen Benutergruppen verboten habe. Das fängt schon mit Einsicht auf die Systemsteuerung an, geht über den Zugriff auf Bildschirmschoner, Áuflösung (Ansicht), und, und, und. Nee, genau das ist es nicht.

Zitat von Luckie:

Ähm, ich glaube, wenn ich das so lese, du hast da was nicht so ganz verstanden, was die Gruppenrichtlinien angeht. Wenn die Einstellungen für deine neue Gruppe, die Einstellungen für die Administratorengruppe beeinfliussen, dann hast du definitiv was falsch gemacht. Und wenn du es richtig machst, dann brauchst du der Administratorengruppe auch nicht den Zugriff auf den Ordner mit den Policies zu verweigern, damit die Regeln für die Administratorengruppe nicht gelten. Ich kann mir nicht vorstellen, dass das der von Microsoft dokumentierte Weg ist.

Nachtrag:
Wenn ich eine neue Gruppe erstellen, so denke ich mir das, ich habe es noch nie gemacht, dann kann ich für diese Gruppe bestimmt induviduell Poicies vergeben ohne Das andere Gruppen, hier der Administratoren Alias, beeinflusst wird.

So was liebe ich ja.
Wie bereits erwähnt habe ich es bisher nicht hinbekommen zwischen den Rechten von unterschiedlichen Benutzergruppen zu unterscheiden. Ich weiss sehr wohl was Gruppenrichtlinien sind und es ist immer leicht Dinge wie diese theoretisch zu erklären ... das hilft mir aber nicht weiter. Wieso falsch gemacht? Ich habe mein Ziel erreicht, die eingeschränkten Benutzer sind eingeschränkt und der Admin nicht. Zeig' mir wie's leichter geht und ich tu's sofort, da hab' ich kein Problem mit. Dein Vorschlag mit dem Gastkonto war, wie bereits erwähnt, suboptimal, denn mein Gastkonto kann ziemlich alle Dinge einsehen, die ich verbieten möchte (Systemsteuerung, Anzeige, etc.). Das mit den freigegebenen Ordnern dürfte auch klar sein, aber hat IMHO nichts mit den anderen Zugriffsverweigerung zu tun, um die es in meinem Tut. geht.

@All
Wer einen leichteren Weg findet, den Zugriff auf Systemsteuerung, Anzeige etc. NUR für eingeschränkte Konten zu verweigern, der kann dieses Tut. gern erweitern.
Danke für Eure Anregungen.

Check this out
DANNYBOY